英国立サイバーセキュリティーセンター(NCSC: National Cyber Security Centre)は3月29日(英国時間)、「NCSC - Use of Russian technology products and services following the invasion of Ukraine」において、ロシア製ソフトウェアやサービスを使っている企業に対し、ウクライナ侵攻が起こっている現在において、ロシア製ソフトウェアやサービスへの対処に関する指針を示した。
-
NCSC - Use of Russian technology products and services following the invasion of Ukraine
英国立サイバーセキュリティーセンターは、ロシアの法律には企業に対してロシア連邦保安庁(FSB: Russian Federal Security Service、ФСБ:Федеральная служба безопасности Российской Федер)を支援する法的義務が存在すると説明するとともに、戦時下にはその圧力が高まる可能性があると指摘。このような状況があるという前置きをした上で、次の組織はロシア製のソフトウェアやサービスについてそのリスクを再考する必要があると述べた。
- 2017年ガイダンスの対象外となった公共部門組織
- ウクライナにサービスを提供している組織
- 知名度が高く、リスクにさらされた場合にロシアにとってプロパガンダに利用されやすい組織
- 重要なインフラストラクチャに関連するサービスを提供する組織
- ロシアの利益に反するとみなされる仕事をしている組織
英国立サイバーセキュリティーセンターは、具体的に次のような取り組みを行うことをアドバイスしている。
- ロシアから標的になる可能性が高い場合、あらゆるタイプのロシアの技術製品やサービスへの依存を再検討する
- ロシアから提供されるサービスを利用している場合、これらサービスが侵害または悪用された場合に、どのように身を守ればよいかと検討する
ロシア製のソフトウェアやサービスを積極的に排除するか、契約が切れるまで待つか、地政学的な状況に合わせて対処するか、リスクを取って共存していくか、どの方法を選択するにせよ、「サイバーセキュリティのバランス」を忘れないように注意を促している。拙速に排除を進めればそれら製品が持っていた防御力を失い、損害を引き起こす可能性もあると指摘している。
なお、カスペルスキーのセキュリティソフトウェアを使っている個人に対しては、そうした個人がサイバー攻撃の標的となる可能性は低く、現時点では電源を入れて使用しても安全だと述べている。ただし、カスペルスキー自体が制裁の対象となった場合はソフトウェアの更新が停止となる可能性があり、その場合には別の製品を検討する必要があるかもしれないと指摘している。
